superintendencia del sistema financiero | web digital · web viewcnbcr-07/2020 nrp-24normas...

EL COMITÉ DE NORMAS DEL BANCO CENTRAL DE RESERVA DE EL SALVADOR,

CONSIDERANDO:

I. Que de conformidad al artículo 2, inciso segundo de la Ley de Supervisión y Regulación del Sistema Financiero, para el buen funcionamiento del Sistema de Supervisión y Regulación Financiera se requiere que los integrantes del sistema financiero y demás supervisados cumplan con las regulaciones vigentes y la adopción de los más altos estándares de conducta en el desarrollo de sus negocios, actos y operaciones, de conformidad a lo establecido en la referida Ley, en las demás leyes aplicables, en los reglamentos y en las normas técnicas que se dicten para tal efecto.

II. Que el artículo 7 de la Ley de Supervisión y Regulación del Sistema Financiero, establece las entidades que están sujetas a la supervisión de la Superintendencia del Sistema Financiero.

III. Que de conformidad al artículo 35, inciso primero y literal d) de la Ley de Supervisión y Regulación del Sistema Financiero, los directores, gerentes y demás funcionarios que ostenten cargos de dirección o de administración en los integrantes del sistema financiero, deben conducir sus negocios, actos y operaciones cumpliendo con los más altos estándares éticos de conducta y actuando con la diligencia debida de un buen comerciante en negocio propio, estando obligados a cumplir y a velar por que en la institución que dirigen o laboran se cumpla con la adopción y actualización de políticas y mecanismos para la gestión de riesgos, debiendo entre otras acciones, identificarlos, evaluarlos, mitigarlos y revelarlos acordes a las mejores prácticas internacionales.

IV. Que de conformidad al artículo 99, literales a) y g) de la Ley de Supervisión y Regulación del Sistema Financiero, el Banco Central de Reserva de El Salvador es la institución responsable de la aprobación de normas técnicas relativas a la gestión de riesgos por parte de los supervisados, así como aquellas en las que se definan las condiciones mínimas que deben reunir físicamente los locales, sus medidas de seguridad, lo relativo a la conservación y archivo de documentación de los integrantes del sistema financiero.

V. Que los estándares internacionales sugieren, entre otras actividades de buenas prácticas, guías amplias en materia de continuidad de negocio, con la descripción de los métodos, técnicas y enfoques utilizados en todo el mundo para desarrollar, implementar y mantener un sistema eficaz de gestión de continuidad del negocio.

VI. Que es conveniente que las entidades gestionen adecuadamente los riesgos a los que están expuestos los diferentes procesos y actividades que realizan, de manera que garanticen la continuidad del negocio, velando por una gestión eficiente del riesgo operacional.

POR TANTO,

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.Tel. (503) 2281-8000

www.bcr.gob.svPágina 1 de 12

CNBCR-07/2020NRP-24

NORMAS TÉCNICAS PARA EL SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Aprobación: 14/04/2020

Vigencia: 01/07/2020

en virtud de las facultades normativas que le confiere el artículo 99 de la Ley de Supervisión y Regulación del Sistema Financiero,

ACUERDA, emitir las siguientes:


CAPÍTULO IOBJETO, SUJETOS Y TÉRMINOS

ObjetoArt. 1.- Las presentes Normas tienen como objeto establecer las disposiciones mínimas que deben considerar las entidades para establecer un Sistema de Gestión de la Continuidad del Negocio y criterios para la adopción de políticas, planes, metodologías y procedimientos acordes a las mejores prácticas internacionales, el tamaño, naturaleza de sus operaciones, segmentación de negocios y la complejidad organizacional de cada entidad y, de esta forma, fortalecer su gestión de riesgos operacionales.

SujetosArt. 2.- Los sujetos obligados al cumplimiento de las disposiciones establecidas en las presentes Normas son:

a) Los bancos constituidos en El Salvador, sus oficinas en el extranjero y sus subsidiarias; las sucursales y oficinas de bancos extranjeros establecidos en el país;

b) Las sociedades que, de conformidad con la Ley, integran los conglomerados financieros, o que la Superintendencia del Sistema Financiero declare como tales, lo que incluye tanto a sus sociedades controladoras como a sus sociedades miembros;

c) Las instituciones administradoras de fondos de pensiones y los fondos que administran;d) Las sociedades de seguros constituidas en el país, sus sucursales en el extranjero, las

sucursales de sociedades de seguros extranjeras establecidas en el país y las Asociaciones Cooperativas de Seguros constituidas en el país, en lo que no contradiga su respectiva Ley;

e) Las bolsas de valores, las casas de corredores de bolsa, las sociedades especializadas en el depósito y custodia de valores, las clasificadoras de riesgo y los agentes especializados en valuación de valores;

f) Los bancos cooperativos, las sociedades de ahorro y crédito y las federaciones reguladas por la Ley de Bancos Cooperativos y Sociedades de Ahorro y Crédito;

g) Las sociedades de garantía recíproca y sus reafianzadoras locales;h) Las sociedades que ofrecen servicios complementarios a los servicios financieros de los

integrantes del sistema financiero, en particular aquellas en los que participen como inversionistas;

i) Las sociedades administradoras u operadoras de sistemas de pagos y de liquidación de valores;j) El Fondo Social para la Vivienda y el Fondo Nacional de Vivienda Popular, en lo que no

contradiga a sus leyes de creación ni a lo dispuesto por la Corte de Cuentas;k) El Instituto Nacional de Pensiones de los Empleados Públicos y el Instituto Salvadoreño del

Seguro Social, este último en lo relativo al Régimen de Riesgos Profesionales y reservas técnicas de salud;



CNBCR-07/2020NRP-24




l) El Instituto de Previsión Social de la Fuerza Armada;m) El Banco de Fomento Agropecuario, el Banco Hipotecario de El Salvador, S.A. y el Banco de

Desarrollo de El Salvador;n) Las titularizadoras y los fondos que administran;o) Las bolsas de productos y servicios;p) Las Gestoras de fondos de inversión y los fondos que administran;q) Las Sociedades Proveedoras de Dinero Electrónico;r) Las Agencias de Información de Datos; ys) La Unidad de Pensiones del Instituto Salvadoreño del Seguro Social.

TérminosArt. 3.- Para efectos de las presentes Normas, los términos que se indican a continuación tienen el significado siguiente:

a) Alta Gerencia: el Presidente Ejecutivo, Director Ejecutivo, Gerente General o quien haga sus veces y los cargos ejecutivos que le reporten al mismo. Para el caso del Banco de Desarrollo de El Salvador y del Instituto Nacional de Pensiones de los Empleados Públicos, el Presidente;

b) Amenaza: la causa potencial de un evento no deseado, que puede afectar la continuidad del negocio;

c) Análisis de Impacto del Negocio (BIA, por sus siglas en inglés): proceso en el que se analizan los procesos, las funciones y actividades del negocio y las consecuencias de una interrupción sobre ellas;

d) Banco Central: Banco Central de Reserva de El Salvador;e) Continuidad del Negocio: es la capacidad de una entidad para seguir ofreciendo sus productos

o servicios a niveles previamente definidos como aceptables después de un incidente de interrupción;

f) Cultura Organizacional: es el conjunto de actitudes, creencias, comportamientos, normas y valores aceptados y aplicados cotidianamente por los miembros de una entidad en la interacción entre sus miembros y en su interacción con el exterior;

g) Entidad: sujeto obligado al cumplimiento de las disposiciones de las presentes Normas, descrito en el artículo 2 de las mismas;

h) Evento: ocurrencia o cambio de un conjunto particular de circunstancias;i) Gestión de la Continuidad del Negocio: proceso de gestión integral que identifica amenazas,

potenciales a una entidad y el impacto que podrían causar a las operaciones del negocio, en caso de materializarse. Este proceso provee un marco para construir la capacidad organizacional de sobreponerse a un incidente de interrupción y ofrecer una respuesta efectiva, de tal manera de salvaguardar los objetivos corporativos, reputación, marca y actividades de creación de valor;

j) Gestión de crisis: proceso mediante el cual una entidad afronta uno o varios eventos de considerable magnitud que amenazan con afectar financiera, económica y reputacionalmente a la entidad y partes interesadas, frente a sus clientes, usuarios o al público en general. Dichos eventos podrían no implicar la disrupción de las operaciones de la entidad, tales como la difusión o publicación de información que podría dañar la reputación de la misma;

k) Grupos de interés: personas u organizaciones que se ven impactadas por las operaciones de una entidad. Ejemplos: empleados, clientes, deudores, socios del negocio, proveedores, accionistas, instituciones gubernamentales, entre otros;



CNBCR-07/2020NRP-24




l) Incidente de interrupción: un evento que tiene la capacidad de generar una interrupción en los productos o servicios que ofrece una entidad, el cual, de no ser gestionado apropiadamente, puede ocasionar una emergencia, crisis o desastre. Se le conoce también como incidente disruptivo;

m) Junta Directiva: órgano colegiado encargado de la administración de la entidad, con funciones de supervisión, dirección y control u órgano equivalente; para el caso de las Asociaciones Cooperativas será el Consejo de Administración o según se defina en su Ley de creación;

n) Máximo Período Tolerable de Disrupción (MTPD, por sus siglas en inglés): es el tiempo que le tomaría a impactos adversos volverse inaceptables para la entidad;

o) Objetivo Mínimo de Continuidad de Negocio (MBCO por sus siglas en inglés): es el mínimo nivel aceptable de productos o servicios que una entidad debe ofrecer para alcanzar sus objetivos durante un incidente de interrupción;

p) Plan de Continuidad del Negocio (BCP, por sus siglas en inglés): procedimientos documentados que guían a las entidades para responder, recuperar y continuar con el negocio a un nivel aceptable de operación predefinido, posterior a un incidente de interrupción y dentro de los tiempos de recuperación predefinidos;

q) Proceso: se refiere al conjunto de procedimientos y actividades interrelacionadas y repetibles que producen un resultado esperado;

r) Producto y servicio: resultados beneficiosos proporcionados por la entidad a servicios críticos, clientes, deudores, destinatarios y otras partes interesadas;

s) Pruebas completas: ejecución de todos los planes y procedimientos de recuperación de la organización completa. Evaluación de las capacidades alternas de operación en un ambiente altamente estresado, sin que esto ponga en riesgo la prestación de productos y servicios por parte de la entidad. Eventualmente, se podría involucrar a las entidades del sector público competentes.

t) Prueba(s): simulación de una interrupción de los procesos u operaciones para evaluar los componentes de un plan (por ejemplo, tareas, equipos, personal, procedimientos, entre otros) con el objetivo de comprobar si es viable y funcional. Dichas pruebas podrán ser como las siguientes:

i. De Escritorio: Método de ensayo para ejercitar los planes, en el que los participantes revisan y discuten los planes de acción y procedimientos sin ejecutarlos, en un ambiente seguro y libre de estrés. Puede llevarse a cabo con uno o varios equipos o departamentos. Por lo general, requiere la guía de un facilitador;

ii. Simulaciones: su proceso implica utilizar una situación creada para validar la información del plan, generando una respuesta teórica del incidente; y

iii. De Funciones: ejecución de los planes y procedimientos de recuperación de un área o línea del negocio;

u) Punto Objetivo de Recuperación (RPO, por sus siglas en inglés): representa la máxima pérdida de datos admisible para que continúe siendo factible reanudar una operación y es expresado en unidades de tiempo de información perdida;

v) Servicios críticos: son los servicios y actividades prioritarios cuya no disponibilidad compromete la existencia de la entidad;

w) Sistema de Gestión de la Continuidad del Negocio (SGCN): es parte del sistema general de gestión que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio. Es decir, brinda un método formal para poner en marcha la Gestión de la Continuidad del Negocio y verificar que es efectivo y consistente con los niveles de continuidad definidos y la cultura organizacional;



CNBCR-07/2020NRP-24




x) Superintendencia: Superintendencia del Sistema Financiero;y) Tercerización de servicios: se produce cuando la entidad encarga la realización de un proceso

a un tercero, es decir, a una persona natural o jurídica distinta a la entidad; yz) Tiempo Objetivo de Recuperación (RTO, por sus siglas en inglés): es el tiempo establecido

por la entidad para reanudar la entrega de un producto o servicio luego de un incidente de interrupción. El RTO de cada producto, servicio, proceso o actividad es menor que el respectivo Máximo Periodo Tolerable de Disrupción.

CAPÍTULO IIROLES Y RESPONSABILIDADES

Gestión de la continuidad del negocioArt. 4.- La Junta Directiva, la Alta Gerencia y el personal deben gestionar permanentemente la continuidad del negocio de las entidades. La gestión de la continuidad del negocio de las entidades debe ser adecuada a la naturaleza, tamaño y complejidad de las operaciones, productos y servicios que ofrecen.

En tal sentido, las entidades deben contar con una estructura organizacional o funcional que delimite claramente las funciones, roles y responsabilidades específicas asociadas a la continuidad del negocio, así como los niveles de dependencia e interrelación que corresponde con cada una de las demás áreas de la entidad.

Asimismo, cuando el tamaño y complejidad de las operaciones y servicios de la entidad lo amerite, la función de continuidad del negocio podrá ser desempeñada por una unidad, área especializada o persona a quien designe la Junta Directiva y que garantice su reporte a la misma.

Responsabilidades de la Junta DirectivaArt. 5.- La Junta Directiva será la responsable de establecer y mantener un Sistema para la Gestión de la Continuidad del negocio, que permita a la entidad proteger a su personal, activos, mantener la operación al mínimo aceptable al presentarse incidentes de interrupción y recuperar el nivel normal de operaciones una vez se superen las fases de emergencia, por lo que debe realizar, como mínimo, lo siguiente:

a) Aprobar las estrategias, políticas y manuales del Sistema para la Gestión de la Continuidad del negocio de la entidad, y asegurarse que la Alta Gerencia los implemente efectivamente;

b) Aprobar la asignación de los recursos necesarios para establecer, implementar y mejorar la gestión de la continuidad del negocio acordes a la estrategia de recuperación y continuidad definida; y

c) Asegurarse que el Sistema para Gestionar la Continuidad de Negocio está implementado y se mantiene adecuado para cumplir sus objetivos, debiendo para ello, realizar como mínimo, lo siguiente:

i. Conocer periódicamente resultados de las pruebas y evaluaciones del Sistema velando porque que se incorporen las recomendaciones y oportunidades de mejora identificadas;

ii. Asegurarse de que Auditoría Interna verifique la existencia y el cumplimiento de la gestión de la continuidad del negocio; y

iii. Conocer los resultados de la activación de los planes de continuidad posterior a la respuesta de incidentes de interrupción, los ajustes y oportunidades de mejoras que deben



CNBCR-07/2020NRP-24




implementar para fortalecer la efectividad del SGCN.

Responsabilidades del Comité de RiesgosArt. 6.- El Comité de Riesgos es el encargado de velar por una sana gestión de la continuidad del negocio de la entidad, por lo que debe realizar como mínimo, lo siguiente:

a) Evaluar, revisar y proponer para aprobación de la Junta Directiva las estrategias, políticas y manuales de continuidad del negocio de la entidad;

b) Aprobar los planes de continuidad del negocio;c) Supervisar que la gestión de la continuidad del negocio sea efectiva y que se realice el análisis de

impacto al negocio, identificando y priorizando los procesos críticos de la entidad; d) Aprobar el programa de pruebas de continuidad de negocio a propuesta de la unidad, área o

persona responsable de la gestión de la continuidad del negocio, recomendando acciones o mecanismos adicionales para la planificación y ejecución de las mismas; asimismo efectuar un seguimiento a la ejecución este y a los planes de acción o mejora que resulten;

e) Apoyar la labor de quien posea la función de continuidad de negocio en la implementación de la gestión de continuidad del negocio; y

f) Efectuar el seguimiento de la gestión de continuidad del negocio.

Responsabilidades de la Alta GerenciaArt. 7.- La Alta Gerencia será responsable de implementar el SGCN, para ello debe realizar al menos las actividades siguientes:

a) Implementar las estrategias, políticas, manuales y planes de continuidad del negocio de la entidad, de acuerdo con lo autorizado por la Junta Directiva y Comité de Riesgos;

b) Velar porque se realice y formule un programa de pruebas de continuidad del negocio;c) Velar por el fomento de una cultura de continuidad del negocio, motivando la participación activa

y el compromiso de todos los empleados;d) Activar los planes de continuidad en respuesta a la ocurrencia de incidentes de interrupción; ye) Impulsar la mejora continua en la gestión de continuidad del negocio de la entidad.Responsabilidad de la Unidad de RiesgosArt. 8.- En materia de gestión de la continuidad del negocio, la Unidad de Riesgos debe llevar a cabo como mínimo lo siguiente:

a) Apoyar en el diseño y someter para aprobación de la Junta Directiva, a través del Comité de Riesgos, las estrategias, políticas y manuales de continuidad del negocio;

b) Apoyar en el diseño y someter para aprobación del Comité de Riesgos, los planes de continuidad del negocio;

c) Asegurar que la gestión de la continuidad del negocio que realice la entidad sea consistente con las políticas, metodologías y procedimientos aplicados para la gestión de riesgos; y

d) Proponer al Comité de Riesgos o quien haga sus veces, la creación de Comités, áreas o cargos especializados para el cumplimiento de las responsabilidades relacionadas con la gestión de la continuidad del negocio.



CNBCR-07/2020NRP-24




CAPÍTULO IIIDEL SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Sistema de Gestión de la Continuidad del Negocio Art. 9.- Los elementos mínimos a desarrollar para implementar un SGCN serán los siguientes:

a) Una política de continuidad del negocio;b) Roles y responsabilidades de los participantes en la gestión de continuidad del negocio;c) El análisis de impacto del negocio (BIA);d) Análisis de amenazas a la continuidad de negocio;e) Diseño y selección de estrategias y tácticas de continuidad del negocio; e) Desarrollo e implementación de la(s) estrategia(s) de continuidad de negocio seleccionada(s); f) Planes de continuidad del negocio para los procesos que permitan la entrega de productos y

servicios críticos que la entidad ofrece, incluyendo los servicios de apoyo internos y externos que se vuelven críticos o habilitantes de los procesos de negocio;

g) Pruebas a los planes de continuidad del negocio;h) Integración de la gestión de la continuidad del negocio dentro de la cultura organizacional a

través de la capacitación, divulgación y concientización del personal, al menos una vez al año;i) Estrategia de gestión de crisis; yj) Revisiones periódicas del SGCN.

Funciones de la unidad o área especializada en Continuidad del NegocioArt. 10.- La función de continuidad del negocio comprenderá al menos los aspectos siguientes:

a) Diseñar las estrategias, políticas, manuales y de continuidad del negocio de la entidad, con el apoyo de la Unidad de Riesgos, para someterlo para aprobación de la Junta Directiva;

b) Diseñar los planes de continuidad del negocio de la entidad, con el apoyo de la Unidad de Riesgos, para someterlo para aprobación del Comité de Riesgos;

c) Elaborar roles y establecer responsabilidades de los participantes en la gestión de continuidad del negocio;

d) Realizar el análisis de impacto del negocio y el análisis de amenazas a la continuidad con el apoyo de la Unidad de Riesgos e informar a la Alta Gerencia, al Comité de Riesgos y la Junta Directiva, sobre los resultados obtenidos;

e) Diseñar y ejecutar un programa de pruebas de continuidad del negocio con el apoyo de la Unidad de Riesgos, para aprobación del Comité de Riesgos; que permitan comprobar su aplicabilidad, informando posteriormente a la Alta Gerencia, al Comité de Riesgos y la Junta Directiva, sobre el resultado de dichas pruebas realizadas;

f) Establecer programas de capacitación y concientización al personal, directamente relacionados con la gestión de la continuidad del negocio, para que éste conozca su rol a la hora de enfrentar un evento disruptivo;

g) Definir un responsable titular y un suplente de comunicar a la Superintendencia lo siguiente:

i. Los resultados de las pruebas;ii. La activación del plan de continuidad del negocio cuando ocurra un incidente de

interrupción; dicha comunicación deberá incluir; una descripción sobre cada interrupción que afecte a los servicios financieros en el momento después de su ocurrencia y completar información relacionado al evento reportado, a más tardar diez días después de haber notificado sobre la interrupción, debiendo incluir lo siguiente: fecha de



CNBCR-07/2020NRP-24




ocurrencia, descripción del incidente, causas de las fallas, diagnostico técnico, canales afectados, tiempo fuera de servicio, impacto ocasionado, acciones correctivas ejecutadas y/ o plan de acción a implementar por esa entidad para solventar las causas que originaron el incidente, así como para prevenirlos en el futuro; en casos de mantenimientos preventivos a la infraestructura tecnológica, deberán informar sobre los mismos con una anticipación de dos días a su ejecución; y

iii. Interrupciones que afecten la conexión directamente con el sistema de Liquidación Bruta en Tiempo Real del Banco Central, en este caso también deberá informarse a este último a la unidad que administra los sistemas de pagos; y

iv. Elaborar y presentar informes de gestión de continuidad del negocio a la Alta Gerencia, al Comité de Riesgos y a la Junta Directiva.

Política de la Continuidad del NegocioArt. 11.- La política de la continuidad del negocio debe proporcionar el marco en torno al cual se diseña e implementa la gestión de la continuidad del negocio y debe formularse acorde con la naturaleza, tamaño, perfil de riesgo y volumen de operaciones de la entidad.

Dicha política, deberá adecuarse al propósito y a las necesidades de la entidad, estableciendo claramente lo que debe lograr en la gestión de la continuidad del negocio. Asimismo, debe ser concisa, clara y precisa, debiendo ser comunicada a todo el personal de la entidad.

La política de la continuidad del negocio incluirá al menos lo siguiente:

a) Alcance y objetivos de la continuidad del negocio;b) Un conjunto de principios, guías y normas mínimas para la continuidad del negocio; yc) Compromiso de parte de la Junta Directiva de proveer los recursos para establecer, implementar

y mejorar la gestión de continuidad del negocio.

Incorporación de la Continuidad del Negocio en la cultura organizacionalArt. 12.- La entidad debe incorporar el concepto e importancia de la continuidad de negocio en la cultura organizacional, de tal manera que todo el personal labore con un enfoque de continuidad del negocio; es decir, que reconozca a la continuidad del negocio como un objetivo prioritario y completamente alineado a la gestión estratégica y cotidiana de la entidad.

Para asegurar que la continuidad del negocio está siendo incorporada en la cultura organizacional, la entidad deberá desarrollar actividades periódicas de concientización y capacitación de continuidad del negocio, así como también considerarse en los procesos de inducción al personal, de conformidad a lo establecido en las presentes Normas.

Análisis de Impacto del NegocioArt. 13.- Para efectos de determinar los productos o servicios críticos y como base para la gestión de la continuidad del negocio, la unidad, área o persona responsable de la gestión de la continuidad del negocio, junto con el área o las áreas correspondientes de la entidad, debe realizar un análisis de impacto del negocio o BIA.



CNBCR-07/2020NRP-24




El BIA debe tomar en cuenta todos los productos y servicios que una entidad entrega; así como los procesos relacionados a ellos; además debe identificar, cuantificar y calificar los impactos de incidentes de interrupción en términos financieros, reputacionales, operativos, legales y de tiempo.

Asimismo, el BIA deberá implicar la definición del tiempo máximo período tolerable de disrupción (MTPD), el tiempo objetivo de recuperación (RTO), punto objetivo de recuperación (RPO), objetivo mínimo de continuidad de negocio (MBCO) y señalar las dependencias y recursos de apoyo para estas actividades.

El BIA debe ser revisado y actualizado periódicamente, tomando en cuenta cambios en el plan estratégico de la entidad, así como cuando existan lanzamientos de nuevos productos o servicios, cambios significativos en los procesos o infraestructura tecnológica y que puedan afectar de manera relevante las actividades y procesos críticos de la entidad.

Análisis de amenazas de continuidad del negocioArt. 14.- La entidad debe establecer, implementar y mantener un proceso formal documentado de análisis de amenazas de continuidad del negocio que de forma sistemática identifique y evalúe el riesgo de incidentes de interrupción en dicha entidad. Para lo anterior, la entidad deberá realizar las actividades siguientes:

a) Identificar las amenazas de interrupción capaces de afectar los procesos y sistemas críticos, información, personas, activos, partes interesadas y otros recursos de soporte; y

b) Analizar y evaluar las amenazas identificadas en el literal anterior y definir planes de tratamiento según corresponda, acordes con los objetivos de continuidad del negocio y de acuerdo con el apetito de riesgo de la entidad.

Diseño y selección de la estrategia de continuidad del negocioArt. 15.- Para el diseño y selección de las estrategias de continuidad y recuperación, la entidad debe considerar los resultados del BIA y el resultado del análisis de amenazas de continuidad del negocio.

Asimismo, la entidad debe tomar en cuenta como mínimo, los aspectos siguientes:

a) La seguridad del personal;b) La protección y recuperación de los productos, servicios y recursos de apoyo críticos; c) La mitigación, respuesta y gestión de los impactos generados por los incidentes de interrupción;d) Las instalaciones de trabajo e infraestructura de tecnología para continuar y recuperar los

productos y servicios críticos dentro del periodo de tiempo identificado y la capacidad acordada;e) Los recursos necesarios; yf) La seguridad de la información.

Implementación de la estrategia de continuidadArt. 16.- Para la implementación de la estrategia de continuidad, la entidad debe ejecutar, como mínimo, las actividades siguientes:



CNBCR-07/2020NRP-24




a) Formular el plan de continuidad del negocio en el que se documente las prioridades, procedimientos, esquemas de respuestas a incidentes, responsabilidades, recursos implicados, entre otros, que permitan a la entidad manejar y responder ante un incidente de interrupción, continuar y recuperar productos y servicios críticos, así como los sistemas informáticos de procesamiento y almacenamiento de información que soportan estos últimos;

b) Definir un procedimiento claro y conocido por todo el personal involucrado para la activación y desactivación del plan de continuidad, así como mecanismos de notificación y escalamiento del incidente;

c) Actualizar periódicamente al personal involucrado en la gestión de la continuidad del negocio, conforme a los roles y responsabilidades derivados de la política de continuidad del negocio, para la aplicación de las estrategias y tácticas de continuidad seleccionadas y el desarrollo de sus operaciones cotidianas con los procedimientos alternativos que pudiese tener la entidad, cuando sea el caso;

d) Definir mecanismos de comunicación efectiva con las partes interesadas internas y externas a la entidad;

e) Destinar los recursos suficientes para la implementación de las estrategias de continuidad aprobadas por la Junta Directiva;

f) Evaluar, en el caso de entidades que pertenecen a conglomerados financieros, la priorización de las actividades de recuperación, uso de instalaciones y recursos compartidos, entre otros, para la implementación uniforme de estrategias y tácticas de continuidad conjuntas; y

g) Tener todo dispuesto para que los planes puedan ser activados en cualquier instante y sean ejecutados con eficiencia y efectividad.

Pruebas de continuidad del negocioArt. 17.- La entidad debe realizar pruebas periódicamente, o cuando surja un cambio significativo, de su plan de continuidad del negocio para asegurar que es consistente con la política y los objetivos de continuidad del negocio definidos. Para la ejecución de estas pruebas deberá establecer un programa de pruebas de continuidad del negocio.

Los ejercicios o pruebas de continuidad del negocio se desarrollarán según lo programado y con los propios recursos y procesos de contingencia que ocupa la entidad para llevar a cabo sus operaciones o procesos diariamente, debiendo documentarse la realización de dichas pruebas o ejercicios.

Para la planificación y ejecución de pruebas, la entidad debe considerar como mínimo, lo siguiente:

a) Escenarios de pruebas realistas y con propósitos y objetivos claramente definidos;b) Que minimicen el riesgo de interrupción de las operaciones de la entidad; yc) Se documenten generando un informe formalizado posterior a su realización, el cual contendrá

resultados, recomendaciones y acuerdos para implementar mejoras de manera oportuna.

Las pruebas que la entidad realice podrán ser parciales, temporales y no anunciadas, hasta pruebas completas de escenarios de interrupción que involucren la participación de agentes externos, principalmente de los proveedores de servicios críticos.



CNBCR-07/2020NRP-24




La ejecución de pruebas completas deberá ser aprobada previamente por la Junta Directiva de la entidad.

Art. 18.- Las entidades, con al menos 30 días de antelación, deberán informar a la Superintendencia sobre el tipo y fecha de realización de las pruebas no anunciadas y las completas.

Revisión y mantenimiento del SGCNArt. 19.- La entidad debe, periódicamente, revisar y dar seguimiento al SGCN para asegurarse de su conveniencia, adecuación y eficacia continua. La revisión debe incluir la evaluación de oportunidades de mejora y la necesidad de efectuar cambios en el SGCN, incluyendo la política, objetivos, estrategias y planes de continuidad del negocio. Los resultados de estas revisiones deben documentarse.

CAPITULO IVINFORMACIÓN Y CONTROL

TercerizaciónArt. 20.- La tercerización o servicios críticos provistos por terceros se enmarcarán dentro de la gestión de los riesgos operacionales, debiendo las entidades establecer políticas y procedimientos apropiados para evaluar, administrar y monitorear los servicios críticos brindados por terceros.

La entidad debe requerir al proveedor de servicios prestados una declaración jurada o certificación vigente, que indique que cuentan con una gestión y planes de continuidad del negocio, pruebas desarrolladas y resultados de las pruebas.

La entidad deberá garantizar a la Superintendencia el acceso y disposición de los datos o información relacionada con el servicio tercerizado sin restricciones; así mismo, garantizar las condiciones del acceso para la auditoría interna y las firmas de auditoría externa que deben efectuar sus evaluaciones en cumplimiento al marco regulatorio vigente.

El plan de continuidad del negocio de la entidad deberá considerar las actividades u operaciones críticas de tecnología de la información que han sido tercerizadas, asimismo, realizar las pruebas para confirmar la efectividad de la estrategia de continuidad.

Para el caso de las entidades que se rigen conforme a lo dispuesto en la Ley de Adquisiciones y Contrataciones de la Administración Pública, realizarán esta actividad sin contravención a dicha Ley.

Cambios significativosArt. 21.- Las entidades analizarán el impacto que tienen los cambios significativos sobre la continuidad del negocio. Los cambios significativos que se podrán considerar, entre otros, son: cambios de la infraestructura tecnológica que soportan los productos o servicios críticos, fusión con otra entidad, implementación de un nuevo producto, servicio o canal de servicio, cambio de un proveedor o cambio de oficina principal, resultados del análisis del impacto del negocio, de ejercicios



CNBCR-07/2020NRP-24




o pruebas realizadas a los planes de continuidad del negocio, de manejo de incidentes ocurridos. Las entidades deberán actualizar sus planes de continuidad del negocio, de conformidad a cambios significativos que puedan surgir.

Detalles técnicos del envío de informaciónArt. 22.- La Superintendencia remitirá a las entidades, en un plazo máximo de noventa días posteriores a la fecha de entrada en vigencia de las presentes Normas, con copia al Banco Central, los detalles técnicos relacionados con el envío de la información requerida. Los requerimientos de información se circunscribirán a la recopilación de información conforme lo regulado en las presentes Normas.

Auditoría InternaArt. 23.- La Unidad de Auditoría Interna debe considerar en su plan anual de trabajo la evaluación del cumplimiento de las disposiciones establecidas en las presentes Normas.

CAPÍTULO VOTRAS DISPOSICIONES Y VIGENCIA

SancionesArt. 24.- Los incumplimientos a las disposiciones contenidas en las presentes Normas, serán sancionados de conformidad con lo previsto en la Ley de Supervisión y Regulación del Sistema Financiero.

Plan de adecuaciónArt. 25.- Las entidades, para cumplir las disposiciones establecidas en las presentes Normas, deberán presentar a la Superintendencia un plan de adecuación, dentro de los ciento ochenta días siguientes a la vigencia de las presentes Normas. Una vez presentado el plan, las entidades deberán implementarlo en un plazo máximo de veinticuatro meses contados a partir de su presentación.

Trámites en procesoArt. 26.- Los procedimientos y recursos administrativos que estuvieran pendientes de concluir a la fecha de la vigencia de las presentes Normas, se continuarán realizando de acuerdo con la normativa con que hayan iniciado su trámite.

Aspectos no previstosArt. 27.- Los aspectos no previstos en materia de regulación en las presentes Normas, serán resueltos por el Banco Central por medio de su Comité de Normas.

VigenciaArt. 28.- Las presentes normas entrarán en vigencia a partir del día uno de julio del dos mil veinte.



CNBCR-07/2020NRP-24




superintendencia del sistema financiero | web digital · web viewcnbcr-07/2020 nrp-24normas...

Documents